Schutz vor dem Conficker-Wurm
Es wurde viel darüber geredet, wie Conficker am 1. April Chaos anrichten wird. Conficker, der offiziell W32/Conficker.worm genannt wird, begann Ende 2008 durch Ausnutzung einer Schwachstelle in Microsoft Windows Systeme zu infizieren. Seitdem hat McAfee zwei weitere Varianten dieses Wurms und viele Binärdateien – Dateien, die sich in den Arbeitsspeicher laden und ausführen lassen – mit der böswilligen "Fracht" des Wurms gesehen. Conficker.C ist die neueste Variante. Ihr Protokoll zum "nach Hause telefonieren" ändert sich am 1. April und führt vielleicht zu einer Aktualisierung mit bisher unbekannter Funktionalität.
McAfee bietet in seinen Endgeräte- und Netzwerkprodukten bereits Schutz vor dem Wurm Conficker, und Microsoft hat ein Sicherheits-Patch für die Schwachstelle herausgebracht, die die Conficker-Familie für ihre Verbreitung ausgenutzt hat. Viele Computeranwender machen sich jedoch weiterhin Sorgen wegen einer Infektion. In den nachfolgenden Informationen erfahren Sie mehr über den Wurm, Schritte zur Säuberung eines infizierten Systems und Maßnahmen zum Schutz vor erneuter Infektion.
Zu den Symptomen einer Conficker-Infektion zählen folgende:
- Der Zugang zu Sicherheits-Websites wird blockiert.
- Anwender werden aus dem Verzeichnis ausgesperrt.
- Durch den Port 445 auf Servern ohne Verzeichnisdienst wird Datenverkehr versandt.
- Der Zugang zu administrativ freigegebenen Laufwerken wird verweigert.
- Autorun.inf-Dateien werden im Papierkorb-Verzeichnis abgelegt.
Infektionsmethode
Conficker.C ist die aktuellste Variante des Conficker-Wurms. Die Gefährdung durch Conficker.C ist auf Systeme begrenzt, die noch mit den früheren Varianten Conficker.A und Conficker.B infiziert sind. Diese operieren, indem sie die Schwachstelle MS08-067 im Server-Dienst von Microsoft Windows ausnutzen. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, könnte sie bei aktivierter Dateifreigabe die externe Ausführung von Code erlauben. Conficker bekämpft Beseitigungsbemühungen, indem es geplante Tasks generiert und/oder sich mithilfe von autorun.inf-Dateien selbst reaktiviert.
McAfee hat Tausende von Binärdateien erkannt, die die Conficker-Funktionalität enthalten. Je nach spezieller Variante kann sich der Wurm über LAN, WAN, das Web oder Wechseldatenträger verbreiten und schwache Kennwörter ausnutzen. Conficker deaktiviert mehrere wichtige Systemdienste und Sicherheitsprodukte und lädt beliebige Dateien herunter. Mit dem Wurm infizierte Computer werden zu einem Teil einer "Armee" befallener Computer und könnten dazu dienen, Angriffe auf Websites zu starten, Spam zu verteilen, Phishing-Websites zu unterhalten oder andere böswillige Aktivitäten durchzuführen.
Beseitigung
Wir empfehlen Kunden, die folgenden Schritte auszuführen, um W32/Conficker.worm zu entfernen und ihn an der Verbreitung zu hindern:
- Installation des Sicherheits-Updates MS08-067 von Microsoft: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Säuberung und Neustart des infizierten Systems
Säubern Sie die Infektion mithilfe von Anti-Malware-Lösungen wie McAfee VirusScan Plus oder ToPS for Endpoint. Verhindern Sie künftige Infektionen mithilfe von Verhaltenserkennungen wie dem Schutz vor Buffer Overflow in Host IPS. Dies ist wichtig, da sich Conficker über tragbare Speichermedien wie USB-Laufwerke verbreiten kann. Beim Zugriff auf das Medium verarbeitet das System die Datei "autorun.inf" und führt den Angriff aus. Weitere Informationen finden Sie in dem Dokument "Bekämpfung des Wurms Conficker" von McAfee LabsTM. - Identifikation anderer infektionsgefährdeter Systeme
Sie müssen feststellen, welche Systeme gefährdet sind. Auf der Liste stehen Systeme, die entweder keinen Patch gegen die Microsoft-Schwachstelle MS08-067 erhalten haben oder keine vorbeugende Schutzüberwachung zur Entschärfung der Schwachstelle besitzen. McAfee Vulnerability Manager und ePolicy Orchestrator können Systeme erkennen, die anfällig und nicht geschützt sind. - Begrenzung der Ausbreitungsfähigkeit der Bedrohung
Der Einsatz von Netzwerk-IPS an strategischen Punkten in Ihrem Netzwerk begrenzt schnell die Ausbreitungsfähigkeit der Bedrohung. Dadurch gewinnen Sie entweder Zeit, die Virenschutz-Signaturen Ihrer Clients zu aktualisieren oder Richtlinien zu ändern, um die Bedrohung mittels Verhaltensüberwachung zu blockieren.
Schutzabdeckung für den Wurm Conficker durch McAfee-Produkte
| McAfee-Produkt | Abdeckung |
|---|---|
| McAfee VirusScan Plus McAfee Internet Security McAfee Total Protection |
Die neuesten Signatur-Dateien (DAT-Dateien) enthalten Entdeckung und Wiederherstellung für diesen Wurm. Wenn Sie in letzter Zeit eine Aktualisierung vorgenommen habe, sind Sie bereits geschützt. |
| ToPS Endpoint und ToPS Service | Die Signatur-Dateien (DAT-Dateien) enthalten Entdeckung und Wiederherstellung für diesen Wurm. Es wird erwartet, dass Schutz vor Buffer Overflow im Scan-Modul und vor generischem Buffer Overflow in Host IPS Code-Ausführungs-Angriffe abdecken. In Host IPS ist auch eine Signatur für "Sicherheitsanfälligkeit im Serverdienst kann Remotecodeausführung ermöglichen" (CVE-2008-4250) enthalten. |
| Network Security Platform (IntruShield) | Enthält Abdeckung von "Schwachstelle Remotecodeausführung von Microsoft Serverdienst". |
| McAfee Vulnerability Manager (VM) | Enthält Abdeckung von MS08-067. Erkennt von einer Infektion durch Conficker gefährdete Rechner sowie mit Conficker.C infizierte Computer. |
| McAfee Web Gateway (ehemals Webwasher) | Enthält Signaturen zur Entdeckung und Blockierung des Wurms am Gateway. |
| McAfee SmartFilter | Bietet Einordnung und Reputationsinformationen für mit dem Wurm Conficker verknüpfte Domänen. |
| McAfee Conficker Detection Tool | Erkennt mit Conficker.C infizierte Rechner. |
Tools zur Conficker-Entfernung
Einträge in der Virenbibliothek von McAfee
McAfee Labs-Podcast
Folge 60 – Spezielle Folge zu Gegenmaßnahmen für W32/Conficker
Kontakt
Wenden Sie sich mit Ihren Fragen an Ihren McAfee-Vertreter oder Channel-Partner – rufen Sie uns rund um die Uhr an sieben Tagen in der Woche an unter +1-888.847.8766.